配置无法删除访问被拒绝

i目录1登录设备方式介绍·1-12缺省情况下如何通过Console口登录设备2-13配置通过CLI登录设备3-13.
1配置通过CLI登录设备简介3-13.
1.
1用户线简介·3-13.
1.
2认证方式简介·3-23.
1.
3用户角色简介·3-23.
2配置通过Console口本地登录设备3-33.
2.
1通过Console口登录设备配置任务简介3-33.
2.
2配置通过Console口登录设备·3-43.
3配置通过Telnet登录设备3-73.
3.
1配置设备作为Telnet服务器·3-73.
3.
2配置设备作为Telnet客户端登录其它设备3-133.
4配置通过SSH登录设备·3-143.
4.
1通过SSH登录设备简介3-143.
4.
2配置设备作为SSH服务器·3-143.
4.
3配置设备作为SSH客户端登录其它设备·3-163.
5配置通过Modem登录设备3-173.
6CLI登录显示和维护3-204配置通过Web登录设备·4-14.
1通过Web登录设备简介·4-14.
2配置通过HTTP方式登录设备·4-14.
3配置通过HTTPS方式登录设备4-24.
4通过Web登录设备显示与维护·4-44.
5通过Web登录设备典型配置举例4-54.
5.
1使用HTTP方式登录设备典型配置举例·4-54.
5.
2使用HTTPS方式登录设备典型配置举例4-55配置通过SNMP登录设备·5-16对登录用户的控制·6-16.
1配置对Telnet/SSH用户的控制·6-16.
1.
1配置准备6-16.
1.
2配置对Telnet/SSH用户的控制6-2ii6.
1.
3配置举例6-26.
2配置对Web用户的控制·6-36.
2.
1配置准备6-36.
2.
2通过源IP对Web用户进行控制·6-36.
2.
3强制在线Web用户下线6-36.
2.
4配置举例6-36.
3配置对NMS的控制·6-46.
3.
1配置准备6-46.
3.
2配置对NMS的控制·6-46.
3.
3配置举例6-56.
4配置命令行授权功能·6-66.
4.
1配置步骤6-66.
4.
2配置举例6-76.
5配置命令行计费功能·6-86.
5.
1配置步骤6-86.
5.
2配置举例6-91-11登录设备方式介绍仅Release3109P05及以上版本支持Web登录功能.
设备支持CLI(CommandLineInterface,命令行接口)、Web和SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)三种登录方式:通过CLI登录设备后,可以直接输入命令行,来配置和管理设备.
CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet、SSH或Modem登录方式.
通过Web登录设备后,用户可以使用Web界面直观地管理和维护网络设备.
通过SNMP登录设备后,NMS可以通过Set和Get等操作来配置和管理设备.
关于SNMP的详细介绍请参见"网络管理与维护配置指导"中的"SNMP".
用户首次登录设备时,只能通过Console口登录.
登录时认证方式为none(不需要用户名和密码),用户角色为network-admin,详细登录过程请参见"缺省情况下如何通过Console口登录设备".
只有通过Console口登录到设备,进行相应的配置后,才能通过其它方式登录.
各登录方式下需要的最小配置详见表1-1.
设备运行于FIPS模式时,不支持Telnet登录或HTTP方式的Web登录.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
表1-1各种登录设备方式的最小配置描述表登录方式缺省情况最小配置描述配置通过Console口本地登录设备缺省情况下,Console口登录时认证方式为none,存在安全隐患.
用户在首次登录后,可以通过修改Console口登录的认证方式以及其它参数来增强设备的安全性配置通过Telnet登录设备开启设备的Telnet功能配置IP地址,并确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址)配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,VTY用户采用password认证方式)配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator)配置通过SSH登录设备开启设备SSH功能并完成SSH属性的配置配置IP地址,并确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用password认证方式)配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator)配置通过Modem登录设备缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户角色为network-admin1-2登录方式缺省情况最小配置描述配置通过Web登录设备配置设备IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址)配置Web用户的用户名与密码(缺省情况下,设备没有创建Web用户名和密码)配置Web用户的用户角色(缺省情况下,Web用户的角色为network-operator)配置Web用户的服务类型为http或者https(缺省情况下,未配置Web登录用户的服务类型)配置通过SNMP登录设备配置IP地址,并确保设备与NMS登录用户间路由可达(缺省情况下,设备没有配置IP地址)配置SNMP基本参数2-12缺省情况下如何通过Console口登录设备通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其它方式登录设备的基础.
通过Console口登录设备时,请按照以下步骤进行操作:(1)PC断电.
因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机.
(2)请使用产品随机附带的配置口电缆连接PC机和设备.
请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中.
连接时请认准接口上的标识,以免误插入其它接口.
在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端.
图2-1将设备与PC通过配置口电缆进行连接(3)给PC上电.
(4)在PC机上运行终端仿真程序,选择与设备相连的串口,设置终端通信参数.
这些参数的值必须和设备上的值一致,缺省情况如下:波特率:9600数据位:8停止位:1奇偶校验:无流量控制:无如果PC使用的是WindowsServer2003操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果PC使用的是WindowsServer2008、WindowsVista、Windows7或其它操作系统,请准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助.
(5)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后将出现命令行提示符(),如下所示.
PressCtrl-BtoenterBootMenu0Auto-booting2-2DecompressImageOK!
Startingat0x80100000Cryptographicalgorithmstestspassed.
Userinterfaceaux0isavailable.
PressENTERtogetstarted.
%Sep2409:48:54:1092014H3CSHELL/4/LOGIN:Consoleloginfromaux0(6)键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入.
3-13配置通过CLI登录设备3.
1配置通过CLI登录设备简介设备运行于FIPS模式时,不支持用户通过Telnet登录.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem登录方式.
缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;缺省情况下,用户不能通过Telnet、SSH以及Modem方式登录设备,这样不利于用户对设备进行远程管理和维护.
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性.
本文将分别介绍如何配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户角色及公共属性.
3.
1.
1用户线简介用户线用于管理、限制CLI登录用户的访问行为:网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等.
当用户使用Console口、Telnet、SSH及Modem登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束.
1.
用户线概述设备提供了两种类型的用户线:AUX用户线:用来管理和监控通过Console口登录的用户.
VTY(VirtualTypeTerminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户.
2.
用户与用户线的关系用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束.
用户与用户线并没有固定的对应关系:同一用户登录的方式不同,分配的用户线不同.
比如用户A使用Console口登录设备时,将受到AUX用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束.
同一用户登录的时间不同,分配的用户线可能不同.
比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY1.
当该用户下次再Telnet登录时,设备可能已经把VTY1分配给其他Telnet用户了,只能为该用户分配其他的用户线.
3-2如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备.
3.
用户线的编号用户线的编号有两种方式:绝对编号方式和相对编号方式.
(1)绝对编号方式使用绝对编号方式,可以唯一的指定一个用户线.
绝对编号从0开始自动编号,每次增长1,先给所有AUX用户线编号,其次是所有VTY用户线.
使用displayline(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号.
(2)相对编号方式相对编号是每种类型用户线的内部编号.
相对编号方式的形式是:"用户线类型编号",遵守如下规则:Console口的编号:第一个为AUX0,第二个为AUX1,依次类推.
VTY的编号:第一个为VTY0,第二个为VTY1,依次类推.
3.
1.
2认证方式简介在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性.
非FIPS模式下,设备支持的认证方式有none、password和scheme三种;FIPS模式下,设备仅支持scheme认证方式.
认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患.
认证方式为password:表示下次使用该用户线登录时,需要输入密码.
只有密码正确,用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
配置认证方式为scheme后,请妥善保存用户名及密码.
认证方式不同,配置不同,具体配置如表3-1所示.
表3-1不同认证方式下配置任务简介认证方式认证所需配置说明none设置登录用户的认证方式为不认证具体配置请见各登录方式下的相关章节password设置登录用户的认证方式为password认证具体配置请见各登录方式下的相关章节设置密码认证的密码scheme设置登录用户的认证方式为scheme认证具体配置请见各登录方式下的相关章节在ISP域视图下为login用户配置认证方法请参见"安全配置指导"中的"AAA"3.
1.
3用户角色简介用户角色对登录用户至关重要,角色中定义了允许用户操作哪些系统功能以及资源对象,即用户登录后可以执行哪些命令.
关于用户角色的详细描述以及配置请参见"基础配置指导"中的"RBAC".
对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定.
3-3对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色.
对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置.
尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备.
3.
2配置通过Console口本地登录设备通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护.
如图3-1所示.
图3-1通过Console口登录设备示意图缺省情况下,用户可以直接通过Console口登录设备,登录时认证方式为none(不需要用户名和密码),用户角色为network-admin.
用户可以修改认证方式、用户角色以及其它登录参数,来增加设备的安全性及可管理性.
3.
2.
1通过Console口登录设备配置任务简介表3-2通过Console口登录设备配置任务简介配置任务说明详细配置配置通过Console口登录设备时的认证方式配置通过Console口登录设备时无需认证(none)必选请根据实际需要选择其中的一种认证方式FIPS模式下,仅支持AAA认证(scheme)3.
2.
21.
配置通过Console口登录设备时采用密码认证(password)3.
2.
22.
配置通过Console口登录设备时采用AAA认证(scheme)3.
2.
23.
配置Console口登录方式的公共属性可选3.
2.
24.
改变Console口登录的认证方式后,新认证方式对新登录的用户生效.
在多台设备组成IRF前,请先配置AUX用户线类的认证方式为none,用户角色为network-admin.
3-43.
2.
2配置通过Console口登录设备1.
配置通过Console口登录设备时无需认证(none)用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证.
表3-3配置用户通过Console口登录设备时无需认证操作命令说明进入系统视图system-view-进入AUX用户线视图lineauxfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入AUX用户线类视图lineclassaux设置登录用户的认证方式为不认证authentication-modenone缺省情况下,用户通过Console口登录,认证方式为none配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Console口登录设备的用户角色为network-admin当用户下次通过Console口登录设备时,无须提供用户名或密码,直接按回车键进入用户视图.
2.
配置通过Console口登录设备时采用密码认证(password)用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证,以提高设备的安全性.
表3-4配置用户通过Console口登录设备时采用密码认证操作命令说明进入系统视图system-view-进入AUX用户线视图lineauxfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入AUX用户线类视图lineclassaux设置登录用户的认证方式为密码认证authentication-modepassword缺省情况下,用户通过Console口登录,认证方式为none3-5操作命令说明设置密码认证的密码setauthenticationpassword{hash|simple}password缺省情况下,没有设置密码认证的密码配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Console口登录设备的用户角色为network-admin配置完成后,当用户再次通过Console口登录设备,键入回车后,设备将要求用户输入登录密码.
正确输入登录密码并回车,登录界面中出现命令行提示符(如).
3.
配置通过Console口登录设备时采用AAA认证(scheme)用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证,以提高设备的安全性.
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法.
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置相应的远程认证方案.
相关详细介绍请参见"安全配置指导"中的"AAA".
表3-5配置用户通过Console口登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入AUX用户线视图lineauxfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入AUX用户线类视图lineclassaux设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,用户通过Console口登录,认证方式为none配置完成后,当用户再次通过Console口登录设备,键入回车后,设备将要求用户输入登录用户名和密码.
正确输入用户名和密码并回车,登录界面中出现命令行提示符(如).
3-64.
配置Console口登录方式的公共属性改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其它登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
否则,连接失败.
表3-6配置Console口登录方式的公共属性操作命令说明进入系统视图system-view-进入AUX用户线视图lineauxfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入AUX用户线类视图lineclassaux配置传输速率speedspeed-value缺省情况下,Console口使用的传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数用户线类视图下不支持该命令配置校验方式parity{even|mark|none|odd|space}缺省情况下,Console口的校验方式为none,即不进行校验用户线类视图下不支持该命令配置停止位stopbits{1|1.
5|2}缺省情况下,Console口的停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低用户线类视图下不支持该命令配置数据位databits{5|6|7|8}缺省情况下,Console口的数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8用户线类视图下不支持该命令配置启动终端会话的快捷键activation-keycharacter缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{character|default}缺省情况下,键入中止当前运行的任务3-7操作命令说明配置流量控制方式flow-control{hardware|none|software}用户线类视图下不支持该命令缺省情况下,流量控制方式为none配置终端的显示类型terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置终端屏幕一屏显示的行数screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户线的超时时间idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开idle-timeout0表示永远不会超时3.
3配置通过Telnet登录设备设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控.
具体请参见"3.
3.
1配置设备作为Telnet服务器".
设备也可以作为Telnet客户端,Telnet到其它设备,对别的设备进行管理和监控.
具体请参见"3.
3.
2配置设备作为Telnet客户端登录其它设备".
设备运行于FIPS模式时,不支持Telnet登录.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
3.
3.
1配置设备作为Telnet服务器缺省情况下,设备的Telnet服务器功能处于关闭状态,通过Telnet方式登录设备的认证方式为password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上.
因此当使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet服务器功能,然后对认证方式、用户角色及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备.
3-81.
配置设备作为Telnet服务器的配置任务简介表3-7配置设备作为Telnet服务器的配置任务简介配置任务说明详细配置配置设备作为Telnet服务器时的认证方式配置Telnet登录设备时无需认证(none)必选请根据实际需要选择其中的一种认证方式3.
3.
12.
配置Telnet登录设备时采用密码认证(password)3.
3.
13.
配置Telnet登录设备时采用AAA认证(scheme)3.
3.
14.
配置Telnet登录同时在线的最大用户连接数可选3.
3.
15.
配置Telnet服务器发送报文的DSCP优先级可选3.
3.
16.
配置VTY用户线的公共属性可选3.
3.
17.
改变Telnet登录的认证方式后,新认证方式对新登录的用户生效.
2.
配置Telnet登录设备时无需认证(none)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证.
表3-8认证方式为none的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入VTY用户线类视图lineclassvty设置VTY登录用户的认证方式为不认证authentication-modenone缺省情况下,VTY用户线的认证方式为password用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值3-9操作命令说明配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator配置完成后,当用户再次通过Telnet登录设备时:设备会显示如图3-2所示的登录界面.
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图3-2用户通过Telnet登录设备时无需认证登录界面3.
配置Telnet登录设备时采用密码认证(password)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证.
表3-9认证方式为password的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入VTY用户线类视图lineclassvty设置登录用户的认证方式为密码认证authentication-modepassword缺省情况下,VTY用户线的认证方式为password用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值3-10操作命令说明设置密码认证的密码setauthenticationpassword{hash|simple}password缺省情况下,没有设置密码认证的密码(可选)配置从当前用户线登录设备的用户角色user-rolerole-name缺省情况下,通过Telnet登录设备的用户角色为network-operator配置完成后,当用户再次通过Telnet登录设备时:设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图3-3所示.
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图3-3配置用户通过Telnet登录设备时采用密码认证登录界面4.
配置Telnet登录设备时采用AAA认证(scheme)用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证.
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法.
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置相应远程认证方案.
相关详细介绍请参见"安全配置指导"中的"AAA".
表3-10配置用户通过Telnet登录设备时采用AAA认证操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一3-11操作命令说明进入VTY用户线类视图lineclassvty用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,VTY用户线的认证方式为password用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值配置完成后,当用户再次通过Telnet登录设备时:设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户名admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图3-4所示.
如果出现"Alllinesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图3-4用户通过Telnet登录设备时AAA认证登录界面5.
配置Telnet登录同时在线的最大用户连接数通过配置同时在线的最大用户连接数,可以限制采用Telnet登录同时接入设备的在线用户数.
该配置对于通过任何一种认证方式(none、password或者sheme)接入设备的用户都生效.
表3-11配置同时在线的最大用户连接数操作命令说明进入系统视图system-view-3-12操作命令说明配置Telnet登录同时在线的最大用户连接数aaasession-limittelnetmax-sessions缺省情况下,Telnet登录同时在线的最大用户连接数为16配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败关于该命令的详细描述,请参见"安全命令参考"中的"AAA"6.
配置Telnet服务器发送报文的DSCP优先级DSCP携带在IP/IPv6报文的ToS/Traficclass字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
表3-12配置Telnet服务器发送报文的DSCP优先级操作命令说明进入系统视图system-view-配置Telnet服务器发送报文的DSCP优先级telnetserverdscpdscp-value二者选其一缺省情况下,Telnet/IPv6Telnet服务器发送Telnet/IPv6Telnet报文的DSCP优先级48telnetserveripv6dscpdscp-value7.
配置VTY用户线的公共属性使用auto-executecommand命令后,将导致用户通过该用户线登录后,不能对设备进行常规配置,需谨慎使用.
在配置auto-executecommand命令并退出登录之前,要确保可以通过其它VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
表3-13配置VTY用户线的公共属性操作命令说明进入系统视图system-view-进入一个或多个VTY用户线视图linevtyfirst-number[last-number]二者选其一3-13操作命令说明进入VTY用户线类视图lineclassvty用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值启动终端服务shell缺省情况下,在所有的用户线上启动终端服务配置VTY用户线支持的协议protocolinbound{all|ssh|telnet}缺省情况下,设备同时支持Telnet和SSH协议使用该命令配置的协议将在用户下次使用该用户线登录时生效用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值配置中止当前运行任务的快捷键escape-key{character|default}缺省情况下,键入中止当前运行的任务配置终端的显示类型terminaltype{ansi|vt100}缺省情况下,终端显示类型为ANSI设置终端屏幕一屏显示的行数screen-lengthscreen-length缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置设备历史命令缓冲区大小history-commandmax-sizevalue缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令设置VTY用户线的超时时间idle-timeoutminutes[seconds]缺省情况下,所有的用户线的超时时间为10分钟如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开idle-timeout0表示永远不会超时设置从用户线登录后自动执行的命令auto-executecommandcommand缺省情况下,未设定自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机3.
3.
2配置设备作为Telnet客户端登录其它设备用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-5所示.
先给设备配置IP地址并获取Telnet服务器的IP地址.
如果设备与Telnet服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
3-14图3-5通过设备登录到其它设备表3-14设备作为Telnet客户端登录到Telnet服务器的配置操作命令说明进入系统视图system-view-(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址退回到用户视图quit-设备作为Telnet客户端登录到Telnet服务器telnetremote-host[service-port][source{interfaceinterface-typeinterface-number|ipip-address}][dscpdscp-value]二者选其一此命令在用户视图下执行telnetipv6remote-host[-iinterface-typeinterface-number][port-number][dscpdscp-value]3.
4配置通过SSH登录设备3.
4.
1通过SSH登录设备简介用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(SecureShell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控.
具体请参见"3.
4.
2配置设备作为SSH服务器".
设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控.
具体请参见"3.
4.
3配置设备作为SSH客户端登录其它设备".
3.
4.
2配置设备作为SSH服务器缺省情况下,设备的SSHServer功能处于关闭状态,因此当使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH服务器功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备.
以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
3-15表3-15设备作为SSH服务器时的配置操作命令说明进入系统视图system-view-生成本地密钥对public-keylocalcreate{dsa|rsa|ecdsa}[namekey-name]缺省情况下,没有生成密钥对使能SSH服务器功能sshserverenable缺省情况下,SSH服务器功能处于关闭状态(可选)建立SSH用户,并指定SSH用户的认证方式非FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}FIPS模式下:sshuserusernameservice-typestelnetauthentication-type{password|password-publickeyassignpublickeykeyname}缺省情况下,不存在任何SSH用户进入VTY用户线视图linevtyfirst-number[last-number]二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入VTY用户线类视图lineclassvty配置登录用户线的认证方式为scheme方式authentication-modescheme非FIPS模式下:缺省情况下,VTY用户线认证为password方式FIPS模式下:缺省情况下,VTY用户线认证为scheme方式用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值3-16操作命令说明(可选)配置VTY用户线支持的SSH协议非FIPS模式下:protocolinbound{all|ssh|telnet}FIPS模式下:protocolinboundssh非FIPS模式下:缺省情况下,设备同时支持Telnet和SSH协议FIPS模式下:缺省情况下,设备支持SSH协议使用该命令配置的协议将在用户下次使用该用户线登录时生效用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值(可选)配置SSH方式登录设备时,同时在线的最大用户连接数aaasession-limitsshmax-sessions缺省情况下,SSH方式登录设备时,同时在线的最大用户连接数为32配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败关于该命令的详细描述,请参见"安全命令参考"中的"AAA"退回系统视图quit-(可选)配置VTY用户线的公共属性-详细配置请参见"3.
3.
17.
配置VTY用户线的公共属性"3.
4.
3配置设备作为SSH客户端登录其它设备用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其它设备上进行操作,如图3-6所示.
先给设备配置IP地址并获取SSH服务器的IP地址.
如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达.
图3-6通过设备登录到其它设备表3-16设备作为SSH客户端登录到其它设备的配置操作命令说明设备作为SSH客户端登录到SSHIPv4服务器ssh2server此命令在用户视图下执行设备作为SSH客户端登录到SSHIPv6服务器ssh2ipv6server此命令在用户视图下执行3-17为配合SSH服务器,设备作为SSH客户端时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH".
3.
5配置通过Modem登录设备网络管理员可以通过设备的Console口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护.
这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位.
通过Console口利用Modem拨号进行远程登录时,使用的是AUX用户线.
缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户角色为network-admin.
需要注意的是:Modem的传输速率要高于Console口的波特率,否则可能会出现丢包现象请参照以下步骤来建立Modem连接:(1)如图3-7所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem.
图3-7搭建远程配置环境(2)获取远程设备端Console口所连Modem上对应的电话号码.
(3)在与设备直接相连的Modem上进行以下配置.
AT&F-Modem恢复出厂配置ATS0=1-配置自动应答(振铃一声)AT&D-忽略DTR信号AT&K0-禁止流量控制AT&R1-忽略RTS信号AT&S0-强制DSR为高电平ATEQ1&W-禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行.
(4)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图3-8至图3-10所示.
3-18如果PC使用的是WindowsServer2003操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果PC使用的是WindowsServer2008、Windows7、WindowsVista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助.
(5)在远端通过终端仿真程序和Modem向设备拨号.
图3-8新建连接图3-9拨号号码配置3-19图3-10在远端PC机上拨号(6)当听到拨号音后:如果AUX用户线的认证方式为none,则在超级终端上键入回车键之后将出现命令行提示符(如),如图3-11所示.
如果AUX用户线的认证方式为password,则在超级终端上需键入合法的密码之后才会出现命令行提示符.
如果AUX用户线的认证方式为scheme,则在超级终端上需键入合法的用户名和密码之后才会出现命令行提示符.
图3-11Console口登录界面3-20当您想断开PC与远端设备的连接时,首先在超级终端中用"ATH"命令断开modem间的连接.
如果在超级终端窗口无法输入此命令,可输入"AT+++"并回车,待窗口显示"OK"提示后再输入"ATH"命令,屏幕再次显示"OK"提示,表示已断开本次连接.
您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接.
当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功.
3.
6CLI登录显示和维护表3-17CLI显示和维护操作命令说明显示当前正在使用的用户线以及用户的相关信息displayusers在任意视图下执行显示设备支持的所有用户线以及用户的相关信息displayusersall在任意视图下执行显示用户线的相关信息displayline[num1|{aux|vty}num2][summary]在任意视图下执行显示设备作为Telnet客户端的相关配置信息displaytelnetclient在任意视图下执行释放指定的用户线freeline{num1|{aux|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其它在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其它用户干扰时,可以使用以下命令强制断开该用户的连接不能使用该命令释放用户当前自己使用的连接锁住当前用户线,防止未授权的用户操作该线lock在用户视图下执行缺省情况下,系统不会自动锁住当前用户线FIPS模式下,不支持此命令向指定的用户线发送消息send{all|num1|{aux|vty}num2}在用户视图下执行4-14配置通过Web登录设备4.
1通过Web登录设备简介设备运行于FIPS模式时,不支持用户通过HTTP登录.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
为了方便用户对网络设备进行配置和维护,设备提供Web功能.
用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备.
设备支持两种Web登录方式:HTTP登录方式:HTTP(HypertextTransferProtocol,超文本传输协议)用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP.
目前,设备支持的HTTP协议版本为HTTP/1.
0.
HTTPS登录方式:HTTPS(HypertextTransferProtocolSecure,超文本传输协议的安全版本)是支持SSL(SecureSocketsLayer,安全套接字层)协议的HTTP协议.
HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理.
缺省情况下,用户不能通过Web登录设备.
需要先通过Console口登录到设备,开启Web功能(开启HTTP和HTTPS服务),并配置设备IP地址、Web用户和认证密码等参数后,才能使用Web登录设备.
Web登录的时候,用户输入的用户名和密码属于敏感信息,Web登录请求是采用HTTPS的方式发送到Web服务器的.
所以,即使用户希望使用HTTP的方式访问Web,也必须先开启设备的HTTPS服务才能成功的登录.
4.
2配置通过HTTP方式登录设备表4-1配置通过HTTP方式登录设备操作命令说明(可选)配置用户访问Web的固定校验码webcaptchaverification-code缺省情况下,用户只能使用Web页面显示的校验码访问Web进入系统视图system-view-开启HTTP服务iphttpenable缺省情况下,HTTP服务处于关闭状态4-2操作命令说明开启HTTPS服务iphttpsenable缺省情况下,HTTPS服务处于关闭状态(可选)配置HTTP服务的端口号iphttpportport-number缺省情况下,HTTP服务的端口号为80(可选)设置Web登录用户连接的超时时间webidle-timeoutminutes缺省情况下,Web闲置超时时间为10分钟(可选)设置同时在线的最大HTTP用户连接数aaasession-limithttpmax-sessions缺省情况下,同时在线的最大HTTP用户连接数为5配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败关于该命令的详细描述,请参见"安全命令参考"中的"AAA"创建本地用户用于Web登录,并进入本地用户视图local-useruser-name[classmanage]缺省情况下,无本地用户(可选)设置本地用户的密码非FIPS模式下:password[{hash|simple}password]FIPS模式下:password设备管理类用户的密码将在哈希计算后以密文的方式保存到配置文件中非FIPS模式下:不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功FIPS模式下:不存在本地用户密码,但本地用户认证时不能成功配置Web用户的角色authorization-attributeuser-roleuser-role缺省情况下,Web用户的角色为network-operator配置Web用户的服务类型为HTTPservice-typehttp缺省情况下,没有配置用户的服务类型4.
3配置通过HTTPS方式登录设备HTTPS登录方式分为以下两种:简便登录方式:采用这种方式时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备.
此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值.
这种方式简化了配置,但是存在安全隐患.
(自签名证书指的是服务器自己生成的证书,无需从CA获取)安全登录方式:采用这种方式时,设备上不仅要使能HTTPS服务,还需要配置SSL服务器端策略、PKI域等.
这种方式配置复杂,但是具有更高的安全性.
4-3SSL的相关描述和配置请参见"安全配置指导"中的"SSL".
PKI的相关描述和配置请参见"安全配置指导"中的"PKI".
表4-2配置通过HTTPS方式登录设备操作命令说明(可选)配置用户访问Web的固定校验码webcaptchaverification-code缺省情况下,用户只能使用Web页面显示的校验码访问Web进入系统视图system-view-(可选)配置HTTPS服务与SSL服务器端策略关联iphttpsssl-server-policypolicy-name缺省情况下,没有SSL服务器端策略与HTTPS服务关联,HTTPS使用自签名证书关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联.
再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效使能HTTPS服务iphttpsenable缺省情况下,HTTPS服务处于关闭状态使能HTTPS服务,会触发SSL的握手协商过程.
在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程.
由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务.
因此,在这种情况下,需要多次执行iphttpsenable命令,这样HTTPS服务才能正常启动(可选)配置HTTPS服务与证书属性访问控制策略关联iphttpscertificateaccess-control-policypolicy-name缺省情况下,没有证书属性访问控制策略与HTTPS服务关联通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verifyenable命令,否则,客户端无法登录设备.
如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备.
证书属性访问控制策略的详细介绍请参见"安全配置指导"中的"PKI"(可选)配置HTTPS服务的端口iphttpsportport-number缺省情况下,HTTPS服务的端口号为443(可选)配置使用HTTPS登录设备时的认证方式webhttps-authorizationmode{auto|manual}缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual4-4操作命令说明(可选)设置Web登录用户连接的超时时间webidle-timeoutminutes缺省情况下,Web闲置超时时间为10分钟(可选)设置同时在线的最大HTTPS用户连接数aaasession-limithttpsmax-sessions缺省情况下,同时在线的最大HTTPS用户连接数为5配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效.
如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败关于该命令的详细描述,请参见"安全命令参考"中的"AAA"创建本地用户用于Web登录,并进入本地用户视图local-useruser-name[classmanage]缺省情况下,无本地用户(可选)设置本地用户的密码非FIPS模式下:password[{hash|simple}password]FIPS模式下:password用户的密码将在哈希计算后以密文的方式保存到配置文件中非FIPS模式下:不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功FIPS模式下:不存在本地用户密码,但本地用户认证时不能成功配置Web登录的用户角色authorization-attributeuser-roleuser-role缺省情况下,Web登录的用户角色为network-operator配置Web登录用户的服务类型为HTTPSservice-typehttps缺省情况下,没有配置用户的服务类型4.
4通过Web登录设备显示与维护在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果.
表4-3Web用户显示操作命令显示Web用户的相关信息displaywebusers显示Web的页面菜单树displaywebmenu显示HTTP的状态信息displayiphttp显示HTTPS的状态信息displayiphttps强制在线Web用户下线freewebusers{all|user-iduser-id|user-nameuser-name}4-54.
5通过Web登录设备典型配置举例4.
5.
1使用HTTP方式登录设备典型配置举例1.
组网需求PC与设备通过IP网络相连且路由可达,PC和设备的IP地址分别为192.
168.
101.
99/24和192.
168.
100.
99/24.
2.
组网图图4-1配置HTTP方式登录组网图3.
配置步骤(1)配置Device#配置VLAN1接口的IP地址为192.
168.
100.
99,子网掩码为255.
255.
255.
0.
[Sysname]interfacevlan-interface1[Sysname-Vlan-interface1]ipaddress192.
168.
100.
99255.
255.
255.
0[Sysname-Vlan-interface1]quit#配置Web用户名为admin,认证密码为admin,服务类型为http,用户角色为network-admin.
[Sysname]local-useradmin[Sysname-luser-manage-admin]service-typehttp[Sysname-luser-manage-admin]authorization-attributeuser-rolenetwork-admin[Sysname-luser-manage-admin]passwordsimpleadmin[Sysname-luser-manage-admin]quit#配置开启HTTP服务和HTTPS服务.
[Sysname]iphttpenable[Sysname]iphttpsenable(2)配置PC#在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web登录页面.
#在"Web用户登录"对话框中输入用户名、密码及验证码,点击按钮后即可登录,显示Web初始页面.
成功登录后,用户可以在配置区对设备进行相关配置.
4.
5.
2使用HTTPS方式登录设备典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:配置Device作为HTTPS服务器,并为Device申请证书.
4-6为HTTPS客户端Host申请证书,以便Device验证其身份.
其中,负责为Device和Host颁发证书的CA(CertificateAuthority,证书颁发机构)名称为new-ca.
本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
进行下面的配置之前,需要确保Device、Host、CA之间路由可达.
2.
组网图图4-2HTTPS配置组网图3.
配置步骤(1)配置HTTPS服务器Device#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server1[Device-pki-entity-en]fqdnssl.
security.
com[Device-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomain1[Device-pki-domain-1]caidentifiernew-ca[Device-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[Device-pki-domain-1]certificaterequestfromra[Device-pki-domain-1]certificaterequestentityen#指定证书申请使用的RSA密钥对名称为"hostkey",用途为"通用",密钥对长度为1024比特.
[Device-pki-domain-1]public-keyrsageneralnamehostkey[Device-pki-domain-1]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieve-certificatedomain1ca4-7#为Device申请证书.
[Device]pkirequest-certificatedomain1#创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domain1[Device-ssl-server-policy-myssl]client-verifyenable[Device-ssl-server-policy-myssl]quit#创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(DistinguishedName,识别名)中包含new-ca.
[Device]pkicertificateattribute-groupmygroup1[Device-pki-cert-attribute-group-mygroup1]attribute1issuer-namednctnnew-ca[Device-pki-cert-attribute-group-mygroup1]quit#创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测.
[Device]pkicertificateaccess-control-policymyacp[Device-pki-cert-acp-myacp]rule1permitmygroup1[Device-pki-cert-acp-myacp]quit#配置HTTPS服务与SSL服务器端策略myssl关联.
[Device]iphttpsssl-server-policymyssl#配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器.
[Device]iphttpscertificateaccess-control-policymyacp#使能HTTPS服务.
[Device]iphttpsenable#创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin.
[Device]local-userusera[Device-luser-manage-usera]passwordsimple123[Device-luser-manage-usera]service-typehttps[Device-luser-manage-usera]authorization-attributeuser-rolenetwork-admin(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
(3)验证配置结果在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制.
HTTPS服务器的URL地址以"https://"开始,HTTP服务器的URL地址以"http://"开始.
PKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";public-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";SSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
6-15配置通过SNMP登录设备使用SNMP协议,用户可通过NMS(NetworkManagementSystem,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图5-1所示.
设备支持多种NMS软件,如iMC等.
图5-1通过SNMP登录设备组网图缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,首先需要通过Console口登录到设备上,在设备上进行相关配置.
设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接.
请根据使用的SNMP版本选择对应的配置步骤.
配置完成后,即可使用NMS网管的方式登录设备.
关于SNMP的详细介绍及配置,请参见"网络管理和监控配置指导"中的"SNMP".
6对登录用户的控制通过引用ACL(AccessControlList,访问控制列表),可以对访问设备的登录用户进行控制:当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备.
关于ACL的详细描述和介绍请参见"ACL和QoS配置指导"中的"ACL".
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费.
6.
1配置对Telnet/SSH用户的控制6.
1.
1配置准备确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL.
AgentNMSMIBGet/SetrequestsGet/SetresponsesandTraps6-26.
1.
2配置对Telnet/SSH用户的控制表6-1配置对Telnet用户的控制操作命令说明进入系统视图system-view-通过ACL控制Telnet客户端的访问权限telnetserveraclacl-number请根据需要选择缺省情况下,没有使用ACL限制Telnet客户端telnetserveripv6acl[ipv6]acl-number表6-2配置对SSH用户的控制操作命令说明进入系统视图system-view-通过ACL控制Telnet客户端的访问权限sshserveraclacl-number请根据需要选择缺省情况下,没有使用ACL限制SSH客户端sshserveracl和sshserveripv6acl命令的详细介绍请参见"安全命令参考"中的"SSH"sshserveripv6acl[ipv6]acl-number6.
1.
3配置举例1.
组网需求通过源IP对Telnet进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
2.
组网图图6-1使用ACL对Telnet用户进行控制3.
配置步骤#定义ACL.
system-view6-3[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用ACL,允许源地址为10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
[Sysname]telnetserveracl20006.
2配置对Web用户的控制通过引用ACL可以对访问设备的Web用户进行控制.
只有ACL中permit的用户才能使用Web访问设备,其它用户不允许访问设备,以免非法用户使用Web访问设备.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL".
6.
2.
1配置准备确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL.
6.
2.
2通过源IP对Web用户进行控制表6-3通过源IP对Web用户进行控制操作命令说明进入系统视图system-view-引用访问控制列表对Web用户进行控制iphttpaclacl-numberHTTP和HTTPS是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一iphttpsaclacl-number6.
2.
3强制在线Web用户下线网络管理员可以通过命令行强制在线Web用户下线.
表6-4强制在线Web用户下线操作命令说明强制在线Web用户下线freeweb-users{all|user-iduser-id|user-nameuser-name}该命令在用户视图下执行6.
2.
4配置举例1.
组网需求通过源IP对Web用户进行控制,仅允许来自10.
110.
100.
52的Web用户访问设备.
6-42.
组网图图6-2对Device的HTTP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2030match-orderconfig[Sysname-acl-basic-2030]rule1permitsource10.
110.
100.
520#引用访问控制列表,仅允许来自10.
110.
100.
52的Web用户访问设备.
[Sysname]iphttpacl20306.
3配置对NMS的控制6.
3.
1配置准备确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL.
6.
3.
2配置对NMS的控制表6-5SNMPv1/SNMPv2c版本配置对NMS的控制操作命令说明进入系统视图system-view-在配置SNMP团体名的命令中引用ACLVACM方式:snmp-agentcommunity{read|write}[simple|cipher]community-name[mib-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见"网络管理和监控配置指导"中的"SNMP"配置SNMP团体名或用户名时二者选其一RBAC方式:snmp-agentcommunity[simple|cipher]community-nameuser-rolerole-name[aclacl-number|aclipv6ipv6-acl-number]*在配置SNMPv1/SNMPv2c用户名的命令中引用snmp-agentgroup{v1|v2c}group-name[read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*6-5操作命令说明ACLsnmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number|aclipv6ipv6-acl-number]*表6-6SNMPv3版本配置对NMS的控制操作命令说明进入系统视图system-view-在配置SNMPv3组名的命令中引用ACLsnmp-agentgroupv3group-name[authentication|privacy][read-viewview-name][write-viewview-name][notify-viewview-name][aclacl-number|aclipv6ipv6-acl-number]*根据网管用户运行的SNMP版本及配置习惯,可以在组名或者用户名配置时引用访问控制列表,详细介绍请参见"网络管理和监控配置指导"中的"SNMP"在配置SNMPv3用户名的命令中引用ACLVACM方式:snmp-agentusm-userv3user-namegroup-name[remote{ip-address|ipv6ipv6-address}][{cipher|simple}authentication-mode{md5|sha}auth-password[privacy-mode{aes128|3des|des56}priv-password]][aclacl-number|aclipv6ipv6-acl-number]*RBAC方式:snmp-agentusm-userv3user-nameuser-rolerole-name[remote{ip-address|ipv6ipv6-address}][{cipher|simple}authentication-mode{md5|sha}auth-password[privacy-mode{aes128|3des|des56}priv-password]][aclacl-number|aclipv6ipv6-acl-number]*6.
3.
3配置举例1.
组网需求通过源IP对NMS进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的NMS访问设备.
2.
组网图图6-3使用ACL对NMS进行控制6-63.
配置步骤#定义基本ACL.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用ACL,仅允许来自10.
110.
100.
52和10.
110.
100.
46的NMS访问设备.
[Sysname]snmp-agentcommunityreadaaaacl2000[Sysname]snmp-agentgroupv2cgroupaacl2000[Sysname]snmp-agentusm-userv2cuseragroupaacl20006.
4配置命令行授权功能6.
4.
1配置步骤缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定.
当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制.
用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法.
命令行授权方法可以和login用户的授权方法相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
表6-7配置命令行授权功能操作命令说明进入系统视图system-view-进入用户线视图line{first-number1[last-number1]|{aux|vty}first-number2[last-number2]}二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入用户线类视图lineclass{aux|vty}设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,AUX用户线的认证方式为none(即不需要进行认证),VTY用户线的认证方式为password用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值使能命令行授权功能commandauthorization缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权如果用户类视图下使能了命令行授权功能,则该类型用户线视图都使能命令行授权功能,并且在该类型用户线视图下将无法禁用命令行授权功能6-76.
4.
2配置举例1.
组网需求为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户HostA登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行.
否则,不能执行该命令.
如果HWTACACS服务器故障导致授权失败,则采用本地授权.
2.
组网图图6-4命令行授权配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device和HostA、Device和HWTACACSserver之间互相路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便用户访问.
system-view[Device]telnetserverenable#配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme#使能命令行授权功能,限制用户只能使用授权成功的命令.
[Device-line-vty0-63]commandauthorization[Device-line-vty0-63]quit#配置HWTACACS方案:授权服务器的IP地址:TCP端口号为192.
168.
2.
20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Device]hwtacacsschemetac[Device-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[Device-hwtacacs-tac]primaryauthorization192.
168.
2.
2049[Device-hwtacacs-tac]keyauthenticationexpert[Device-hwtacacs-tac]keyauthorizationexpert[Device-hwtacacs-tac]user-name-formatwithout-domain[Device-hwtacacs-tac]quit#配置缺省域的命令行授权AAA方案,使用HWTACACS方案.
6-8[Device]domainsystem[Device-isp-system]authenticationloginhwtacacs-schemetaclocal[Device-isp-system]authorizationcommandhwtacacs-schemetaclocal[Device-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,用户角色为level-1.
[Device]local-usermonitor[Device-luser-manage-admin]passwordcipher123[Device-luser-manage-admin]service-typetelnet[Device-luser-manage-admin]authorization-attributeuser-rolelevel-16.
5配置命令行计费功能6.
5.
1配置步骤当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录.
要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法.
命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同.
相关详细介绍请参见"安全配置指导"中的"AAA".
表6-8配置命令行计费功能操作命令说明进入系统视图system-view-进入用户线视图line{first-number1[last-number1]|{aux|vty}first-number2[last-number2]}二者选其一用户线视图下的配置优先于用户线类视图下的配置用户线视图下的配置只对该用户线生效且立即生效用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值.
如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值进入用户线类视图lineclass{aux|vty}设置登录用户的认证方式为通过AAA认证authentication-modescheme缺省情况下,AUX用户线的认证方式为none(即不需要进行认证),VTY用户线的认证方式为password用户线视图下,对authentication-mode和protocolinbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值6-9操作命令说明使能命令行计费功能commandaccounting缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行如果用户类视图下使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,并且在该类型用户线视图下将无法禁用命令行计费功能6.
5.
2配置举例1.
组网需求为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录.
2.
组网图图6-5命令行计费配置组网图3.
配置步骤#开启设备的Telnet服务器功能,以便用户访问.
system-view[Device]telnetserverenable#配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Device]lineaux0[Device-line-aux0]commandaccounting[Device-line-aux0]quit#配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Device]linevty063[Device-line-vty0-63]commandaccounting6-10[Device-line-vty0-63]quit#配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.
168.
2.
20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Device]hwtacacsschemetac[Device-hwtacacs-tac]primaryaccounting192.
168.
2.
2049[Device-hwtacacs-tac]keyaccountingexpert[Device-hwtacacs-tac]user-name-formatwithout-domain[Device-hwtacacs-tac]quit#配置缺省域的命令行计费AAA方案,使用HWTACACS方案.
[Device]domainsystem[Device-isp-system]accountingcommandhwtacacs-schemetac[Device-isp-system]quit